免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Wordpress Country State City Dropdown CF7插件 SQL注入漏洞(CVE-2024-3495)
一、漏洞描述:
Country State City Dropdown CF7插件是一个功能强大、易于使用的 WordPress 插件,它为用户在联系表单中提供国家.州/省和城市的三级下拉菜单功能,帮助用户更准确地填写地区信息。由于WordPress的County State City Dropdown CF7插件在2.7.2及以下的版本中存在SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞获取数据库敏感信息,导致凭证密钥等信息泄露,深入利用还可能会对服务器造成严重威胁。
二、风险等级:
高危
三、影响范围:
Wordpress Country State City Dropdown <= 2.7.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://cn.wordpress.org/plugins
2 HSC Mailinspector loader.php 路径遍历漏洞(CVE-2024-34470)
一、漏洞描述:
HSC MailInspector是一款电子邮件检查工具,它能够扫描最新邮件,并允许用户远程执行各种操作,如浏览、垃圾邮件排除、编辑和删除。该工具还支持SSL安全机制、在线回信、新信通知、登入纪录和错误报告等功能。HSC MailInspector /public/loader.php文件中存在的路径遍历漏洞。未经身份验证的用户可以滥用/public/loader.php文件中存在的路径遍历漏洞。path参数无法正确筛选传递的文件和目录是否为webroot的一部分,从而使攻击者能够读取服务器上的任意文件。
二、风险等级:
高危
三、影响范围:
HSC Mailinspector 5.2.17-3 - 5.2.18
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.hscbrasil.com.br/mailinspector
3 Apache OFBiz路径遍历漏洞(CVE-2024-36104)
一、漏洞描述:
Apache OFBiz是一个著名的电子商务平台,提供了创建基于最新J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。Apache OFBiz 版本18.12.14之前版本中存在路径遍历漏洞,由于对HTTP请求URL中的特殊字符(如;、%2e)限制不当,威胁者可构造恶意请求利用该漏洞,成功利用可能导致远程代码执行。
二、风险等级:
高危
三、影响范围:
Apache OFBiz < 18.12.14
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://ofbiz.apache.org/download.html
4 Baxter Welch Ally Connex Spot Monitor 安全漏洞(CVE-2024-1275)
一、漏洞描述:
Baxter Welch Ally Connex Spot Monitor是美国百特(Baxter)公司的一个监测器。Baxter Welch Ally Connex Spot Monitor 1.52之前版本存在安全漏洞,该漏洞源于使用默认加密密钥。
二、风险等级:
高危
三、影响范围:
Baxter Welch Ally Connex Spot Monitor < 1.52
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.baxter.com/sites/g/f ... 80030693A_ICMSA.pdf |
发表于 2024-6-4 09:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡